Router Huawei
Poniżej znajduje się kilka podstawowych komend wraz z przykładami niezbędnych do podstawowej konfiguracji routera Huawei:
Dostęp do urządzeń
Definicja dostępu do urządzeń, wpuszczamy tylko sieci zarządzające, do tego celu tworzymy ACL:
acl number 2010
rule 5 permit source 213.199.219.146 0
rule 6 permit source 192.168.4.0 0.0.0.255
rule 7 permit source 10.2.32.0 0.0.3.255
Podajemy nazwę community sNMP oraz deklarujemy access-liste stworzoną w poprzednim kroku:
snmp-agent community read %$%$#7T&FdP'”Z}bDUL9E4dS,$1s%$%$ acl 2010
snmp-agent sys-info version v2c
snmp-agent
Konfiguracja SSH i Telnet
Włączamy dostęp przez ssh i telnet, w ramach konfiguracji odwołujemy się do access listy:
user-interface vty 0 4
authentication-mode aaa
idle-timeout 30 0
protocol inbound all
acl 2010
Uruchamiamy serwer ssh i generujemy certyfikat:
rsa local-key-pair create
Uruchmiamy serwer stelnet:
stelnet server enable
Konfiguracja użytkowników
Dodajemy użytkowników lokalnych:
aaa
local-user nazwausera password cipher hasło
local-user nazwausera service ssh
Włączamy możliwość logowania się do ssh dla utworzonych przed chwilą użytkowników:
ssh user nazwaużytkownika authentication-type password
ssh user nazwauzytkownika service-type stelnet
Konfiguracja serwera http
Włączamy server http:
http timeout 3
http server enable
Konfiguracja zabezpieczeń przed atakami typu syn i atakami przez pakiety fragmentowane:
anti-attack fragment car cir 1000000
anti-attack tcp-syn car cir 1000000
Konfiguracja Interfejsów
Interfejsy VLAN
interface Vlanif1
ip address 192.168.4.1 255.255.255.0
ip address 10.227.190.1 255.255.255.0 sub //drugi adres przypisany do interfejsu
dhcp select globalinterface Vlanif2
ip address 172.17.1.1 255.255.255.0
dhcp select global
Interfejsy fizyczne
Przypisanie interfejsow do vlanu 2
interface Ethernet0/0/0
port link-type access
port default vlan 2interface Ethernet0/0/1
port link-type access
port default vlan 2//domyślnie interfejsy są w VLANie 1
interface Ethernet0/0/2interface Ethernet0/0/3
Konfiguracja dhcp dla interfejsów LAN
dhcp enable
ip pool VLAN1PULA
gateway-list 192.168.4.1
network 192.168.4.0 mask 255.255.255.0
excluded-ip-address 192.168.4.2 192.168.4.4
dns-list 10.2.35.200ip pool VLAN2PULA
gateway-list 172.17.1.1
network 172.17.1.0 mask 255.255.255.0
dns-list 8.8.8.8interface vlanif 1
dhcp select globalinterface vlanif 2
dhcp select global
Konfiguracja interfejsów WAN
Interfejs ethernet
interface Ethernet0/0/4
description WAN
ip address 213.199.219.219 255.255.255.248
Interfejs 3G
interface Cellular0/0/0
link-protocol ppp
ppp chap user internet
ppp chap password cipher internet
ppp ipcp dns admit-any
ppp ipcp dns request
tcp adjust-mss 1460
ip address ppp-ne
dialer enable-circular
dialer-group 1
dialer timer autodial 20
dialer number *99# autodialdialer-rule
dialer-rule 1 ip permit
Konfiguracja routingu statycznego:
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 preference 200
ip route-static 0.0.0.0 0.0.0.0 213.199.219.217
Konfiguracja nat dla sieci 172.17.1.0
acl number 2000
rule 5 permit source 172.17.1.0 0.0.0.255interface cellular 0/0/0
nat outbound 2000
Konfiguracja VPN
Definiujemy acl wybierającą ruch do zaszyforwania
acl number 3101
rule 5 permit ip source 192.168.4.0 0.0.0.255
rule 6 permit ip source 10.227.190.0 0.0.0.255
Definiujemy parametry dla IKE faza 1
ike proposal 3
encryption-algorithm aes-cbc-256
dh group14
sa duration 3600
Definiujemy parametry dla IKE fazy 2
ipsec proposal cmap20
esp authentication-algorithm sha1
esp encryption-algorithm 3des
Definiujemy peer-a IKE
ike peer cmap20 v1
pre-shared-key cipher %$%$WAcj.Kw3*Hs7K/R>Q-V,.2n%$%$
ike-proposal 3 <—odwołujemy się do parametrów IKE faza 1
remote-address 213.199.219.146
Definiujemy politykę IPSEC
ipsec policy cmap 10 isakmp
security acl 3101
pfs dh-group2
ike-peer cmap20 <—– odwołujemy się do peer
proposal cmap20 <—– odwołujemy się do propozycji IKE faza 2
Druga polityka dla drugiego interfejsu
ipsec policy cmap2 10 isakmp
security acl 3101
pfs dh-group2
ike-peer cmap20 <—– odwołujemy się do peer
proposal cmap20 <—– odwołujemy się do propozycji IKE faza 2
Przypinamy politykę do interfejsu
interface cell0/0/0
ipsec policy cmap2interface ethernet0/0/4
ipsec policy cmap
Konfiguracja firewalla
acl number 3005
rule 6 permit ip destination 192.168.4.0 0.0.0.255firewall zone trust
priority 14firewall zone untrust
priority 1firewall zone Local
priority 16firewall interzone trust untrust
firewall enable
packet-filter 3005 inbound
packet-filter default permit inbound
packet-filter logging
Konfiguracja QoS
Konfiguracja acl wybierających ruch
acl 3088
rule 5 permit ip source a.a.a.a destination b.b.b.bacl 3089
rule 5 permit ip source c.c.c.c destination d.d.d.dacl 3090
rule 5 permit ip source e.e.e.e destination f.f.f.f
Konfiguracja klasyfikatorów
traffic classifier c1
if-match acl 3088traffic classifier c2
if-match acl 3089traffic classifier c3
if-match acl 3090
Konfiguracja „zachowania” : definiujemy procentowy udział w pasmie łącza
traffic behavior b1
remark voice
queue llq bandwidth 10traffic behavior b2
remark wazna-aplikacja
queue af bandwidth 30traffic behavior b3
remark inna-wazna-aplikacja
queue af bandwidth 40
Polityka łącząca klasyfikator z zachowaniem
traffic policy p1
classifier c1 behavior b1
classifier c2 behavior b2
classifier c3 behavior b3
Przypisanie polityki do interfejsu
interface ethernet 0/0/4
traffic-policy p1 outbound
Wyświetlanie bieżącej konfiguracji
display current-config
Zapisywanie konfiguracji po modyfikacji
save
Wyświetlanie plików
dir
Directory of flash:/Idx Attr Size(Byte) Date Time(LMT) FileName
0 -rw- 61,132,672 Apr 19 2013 10:39:08 ar200-v200r003c01spc300.cc
1 -rw- 0 Aug 14 2013 17:05:04 brdxpon_snmp_cfg.efs
2 -rw- 684 Sep 15 2013 17:04:56 rsa_host_key.efs
3 -rw- 286,620 Aug 14 2013 17:05:54 sacrule.dat
4 -rw- 540 Sep 15 2013 17:04:58 rsa_server_key.efs
5 -rw- 43,883 Sep 17 2013 09:44:34 mon_file.txt
6 drw- – May 23 2013 19:49:52 dhcp
7 drw- – May 23 2013 19:50:02 logfile
8 -rw- 1,024 Sep 13 2013 15:28:56 boot_logfile
9 -rw- 362 Sep 17 2013 11:52:50 private-data.txt
10 -rw- 522 Aug 14 2013 17:58:22 default_local.cer
11 -rw- 963 Aug 14 2013 17:58:22 default_local_privkey.pem
12 -rw- 1,514 Aug 21 2013 21:55:56 vrpcfg-old.zip
13 -rw- 1,939 Sep 17 2013 11:52:50 vrpcfg.zip
Kopia konfiguracji na pc z użyciem tftp
tftp 192.168.1.1 put flash:/vrpcfg.zip
Info: Transfer file in binary mode.
Uploading the file to the remote TFTP server. Please wait…
Kopia konfiguracji na flash
copy flash:/vrpcfg.zip flash:/vrpcfg2.zip
Copy flash:/vrpcfg.zip to flash:/vrpcfg2.zip? (y/n)[n]:y
100% complete
Info: Copied file flash:/vrpcfg.zip to flash:/vrpcfg2.zip…Done
Bootowanie systemu z drugiego pliku
startup saved-configuration vrpcfg2.zip
Weryfikacja stanu urządzenia
Stan interfejsów
display interface
Stan IP na interfejsach
display ip interface brief
Obciążenie procesora
display cpu-usage
Obciążenie pamięci
display memory-usage
Przegląd logów
display logbuffer
Weryfikacja stanu tunelu
[Huawei]display ike sa
Conn-ID Peer VPN Flag(s) Phase
—————————————————————
47271 213.199.219.146 0 RD 1
47275 213.199.219.146 0 RD|ST 2
47273 213.199.219.146 0 RD|ST 2
47272 213.199.219.146 0 RD|ST 1
47194 213.199.219.146 0 RD|ST 2
47192 213.199.219.146 0 RD|ST 2Flag Description:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST KNOWN GOOD SEQ NO. BCK–BACKED UP[Huawei]display ipsec sa
===============================
Interface: Ethernet0/0/4
Path MTU: 1500
===============================—————————–
IPSec policy name: “cmap”
Sequence number : 10
Acl Group : 3101
Acl rule : 5
Mode : ISAKMP
—————————–
Connection ID : 47194
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 192.168.4.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable[Outbound ESP SAs] SPI: 2396107993 (0x8ed1b4d9)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3223
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N[Inbound ESP SAs] SPI: 1725989950 (0x66e0843e)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3223
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N—————————–
IPSec policy name: “cmap”
Sequence number : 10
Acl Group : 3101
Acl rule : 6
Mode : ISAKMP
—————————–
Connection ID : 47192
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 10.227.190.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable[Outbound ESP SAs] SPI: 2396107991 (0x8ed1b4d7)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3222
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N[Inbound ESP SAs] SPI: 2909473131 (0xad6b096b)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3222
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N===============================
Interface: Cellular0/0/0
Path MTU: 1500
===============================—————————–
IPSec policy name: “cmap2”
Sequence number : 10
Acl Group : 3101
Acl rule : 5
Mode : ISAKMP
—————————–
Connection ID : 47280
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 192.168.4.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable[Outbound ESP SAs] SPI: 2396108020 (0x8ed1b4f4)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3581
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N[Inbound ESP SAs] SPI: 1937982094 (0x7383428e)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3581
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N—————————–
IPSec policy name: “cmap2”
Sequence number : 10
Acl Group : 3101
Acl rule : 6
Mode : ISAKMP
—————————–
Connection ID : 47281
Encapsulation mode: Tunnel
Tunnel local : 213.199.219.219
Tunnel remote : 213.199.219.146
Flow source : 10.227.190.0/255.255.255.0 0/0
Flow destination : 0.0.0.0/0.0.0.0 0/0
Qos pre-classify : Disable[Outbound ESP SAs] SPI: 2396108021 (0x8ed1b4f5)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3583
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N[Inbound ESP SAs] SPI: 1466555570 (0x5769dcb2)
Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1
SA remaining key duration (bytes/sec): 0/3583
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Konto użytkownika z uprawnieniami do wykonywania konkretnych komend
Przypisanie poziomu uprawnień do użytkownika
aaa
local-user nazwausera privilege level 3
Przypisanie komend do poziomu uprawnień
command-privilege level 3 view shell display current-configuration
command-privilege level 3 view system display current-configuration
command-privilege level 3 view shell display interface GigabitEthernet7/0/0
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów